Taroltak az internetes bűnözők tavaly
A 2012-es esztendő adatbiztonsági események áttekintése és értékelése
A Compliance Data Systems Kft. visszatekintése szerint a tavalyi évben minden eddiginél komolyabb kihívásokkal kellett szembenéznie a vállalatoknak, intézményeknek, az átlagos internet felhasználóknak valamint a hétköznapi embereknek, ami az adatok biztonságban tartását és az internetes bűnözők elleni védekezést illeti. Visszatekintve a 2012-es esztendőre elmondhatjuk, hogy a régi adatszivárgási módszerek mellett egyre kifinomultabb eszközökkel próbálják megszerezni adatainkat a bűnözők, illetve a mobileszközök elterjedésével összhangban egyre növekszik az elvesztett készülékek, adathordozók által kikerült bizalmas adatok mennyisége, ugyanakkor a védekezésben még mindig a spórolás és a látszatmegoldások alkalmazása a jellemző.
„Visszatekintve az elmúlt esztendőben sajnos rengeteg internetes bűnesettel, és adatszivárgási incidenssel találkoztunk. Hónapról hónapra újabb, és újabb esetekről olvashattunk, amelyek során a bűnözök szinte minden eszközt bevetettek, hogy információhoz jussanak, amelyet felhasználhatnak az áldozatok kárára, illetve illetékteleneknek értékesíthetik az információkat, sokszor fillérekért." – mondta Egerszegi Krisztián a CDSYS ügyvezető igazgatója. „Mi idén is megteszünk majd mindent, hogy felvegyük a harcot az adatszivárgás okozta károk és kellemetlenségek ellen. A technológia adott és folyamatosan fejlődik, de a felhasználói oldal eltökéltségére is szükségünk van ahhoz, hogy biztonságban tartsuk ügyfeleink adatait. Amíg a felhasználói oldalon nincs megfelelő érdeklődés, tudás és elhatározás, illetve ha felesleges, soha meg nem térülő befektetésnek tekintik az adatszivárgás elleni védelmet, akkor mi a legjobb megoldásokkal sem tudjuk megállítani a vállalatok adataira vadászó bűnözőket."
Az év első napjaiban már érkeztek a hírek adatszivárgási esetekről, többek között egy hazai bankbotrányról, ahol bizalmas banki információk szivárogtak ki, valamint felbukkant egy magyar adathalász oldal, amely a Facebook felhasználókat tévesztette meg és szerezte meg sokak adatait. Szintén az év elején érkezett a bejelentés a zappos.com elleni támadásról, amelyben 24 millió ügyfél lehet érintett, valamint az 1,8 millió ügyfél bizalmas adatainak kiszivárgásáról két amerikai közüzemi szolgáltatótól. Ugyan csak januárban derült ki, hogy a Symantec Adatszivárgás-védelem specialistája díját a legnagyobb fókuszt, a legtöbb aktivitást és a legmagasabb számú induló és futó projektet magáénak tudó CDSYS nyerte el.
A február egy összefogással indult, amelynek keretében cégóriások szövetkeztek az adathalászok ellen. A csoportosulás azzal próbál gátat vetni az adathalászatnak, hogy létrehozta a DMARC-ot, amely egyfajta szabványként hitelesíti a fiókunkba érkezett levelet, így ellenőrizhető lesz, hogy a feladó valóban az, akinek mondja magát. A hónap elején került megrendezésre az ICT DAY 2012 konferencia, ahol a CDSYS munkatársa tartott előadást „véDeLmi Praktikák az adatszivárgás elkerülése érdekében" címmel az érdeklődőknek. Az adatszivárgási incidensek sora a Motorola bakijával folytatódott, amelynek során a cég eladott több visszavitt és gyárilag újracsomagolt tabletet, amelyről nem lettek letörölve a felhasználói adatok. Az adatszivárogtatóknak semmi sem szent, ezt mi sem bizonyítja jobban, mint az a vatikáni szivárogtatási eset, amelynek során titkos pápai dokumentumok kerültek illetéktelenek kezei közé, kínos magyarázkodásra kényszerítve a Szentszék képviselőit.
Ami a védelmi oldalt illeti a Symantec februárban jelentette be új backup megközelítését, amely a kisvállalkozásoknak segít leküzdeni a biztonsági mentés bonyolultságait, ezáltal megelőzve a végzetes adatvesztéseket. Még ebben a hónapban publikálta a Symantec a BRFK közös felmérés eredményeit, amelyek tanulsága szerint 2011-ben 900 ezer hazai célpontja volt az online bűncselekményeknek.
A CDSYS az év elején készített egy felmérést a hazai pénzintézetek körében a webtanúsítványok használatáról, amelynek tanulsága szerint a pénzintézetek tíz százalékánál található meg a legteljesebb biztonságot nyújtó zöld csík, a többi vállalat inkább az olcsóbb, de alacsonyabb védelmet biztosító megoldásokat alkalmazza. Jó jel, hogy a hazai pénzintézetek szinte mindegyike tesz lépéseket az adathalászat elkerülésének érdekében, és mindenhol használnak valamilyen tanúsítványt, ugyanakkor a legtöbb helyen inkább a költségkímélőbb megoldásokat favorizálják az erős, kiterjesztett ügyfélbarát védelemmel szemben.
Nem kellett sokat várni az év első adatlopásra specializálódott Mac-es trójai programjára sem, amelyről március elején érkeztek hírek. A Flashback.G elindulásához szintén a felhasználói óvatlanságra, figyelmetlenségre van szükség. A hónap elején kiderült, hogy a 2011 nyarán ellopott NASA laptopján tárolt adatok nem voltak titkosítva, így a Nemzetközi Űrállomás irányításához és ellenőrzéséhez használt algoritmusok kerülhettek rossz kezekbe. Érdemes megjegyezni, hogy a szervezetnél a 2010-2011-es időszak során több mint 5000 biztonsági incidenst rögzítettek, amelyek elhárítása 7 millió dollárjába került az adófizetőknek.
A Symantec még márciusban egy új internetes bűnözési hullámra hívta fel a figyelmet, amelynek fő tulajdonsága, hogy Amerika egyik legismertebb fogyasztóvédelmi szervezetének, a Better Business Bureau (BBB) nevében támadja a vállalkozásokat. Szintén a vállalattal kapcsolatos hír, hogy a Symantec a Mobile World Congress-en jelentette be, hogy jelentős előrelépéseket értek el a vállalati mobilitási stratégiában Android, iOS és Windows Phone 7 platformokon.
Nem sokkal később egy pornóoldal feltöréséről érkeztek hírek. A behatolók saját állításuk szerint gyakorlatilag bármilyen adatokhoz hozzá fértek, annyira alacsony volt a honlap védettsége. A betörés során a The Consortium csoport 73 ezer előfizető szenzitív adataihoz jutottak hozzá, többek között hozzájutottak a felhasználói nevekhez, e-mailcímekhez, és jelszavakhoz, illetve 40 ezer hitelkártya száma, lejárati dátuma és biztonsági kódja is a hackerek kezébe került.
A kifinomult támadások mellett tartoltak a pofonegyszerű online támadások is. A Verzion kutatásában több mint 850 incidenst elemeztek a szakemberek, valamint az amerikai titkosszolgálattól és a brit, holland, ír és ausztrál hatóságoktól kapott információkat felhasználva derített fényt napjaink legelterjedtebb támadási módszereire. Az eredmény a cég kutatóit is meglepte, ugyanis a megvizsgált esetek 96 százalékában semmiféle kifinomult módszerre nem volt szükségük az elkövetőknek tettük végrehajtásához.
Az Európai Unió, a növekvő adatvesztési ügyek hatására úgy döntött, hogy a jövőben szigorúan fellépne az adatvédelmi botrányokat a szőnyeg alá söprő vállalatokkal szemben és minden az EU területén működő vállalkozást köteleznének a hatékony biztonsági intézkedések foganatosítására a hackertámadások ellen.
A szakma figyelmeztetéséből megtudhattuk, hogy milyen gyenge a Szép-kártyák védelmi rendszere, ezért a kártya használatakor óvatosabbnak kell lenni, mint egy sima bankkártyás fizetésnél, mert az alacsony hatásfokú védelmi rendszer könnyen kijátszható, és illetéktelenek költhetik el a kártyán tárolt pénzünket. Szerencsére a HOUG konferencia zárónapján az adatbiztonság is jelentős szerephez jutott, amelynek keretében Schwartz Milán, a CDSYS képviseletében arról beszélt, hogy a szerepköralapú biztonság valamint a megfelelőség üzemeltetési, üzleti és audit oldalon is felvet kérdéseket, melyeket nyilvánvalóan kezelni kell. A konferencián jelentette be a CDSYS, hogy Magyarországon egyedüliként megkapta az Oracle Identity Administration and Analytics (IDM) specializált partneri címet.
A tavasz egy újabb bankkártyás visszaéléssel kezdődött. Az Erste Bank és a Citibank hazai ügyfeleinek kártyáit Chicagóból csapolták meg a bűnözők, esetenként több tízezer forinttal. Rögtön az eset után érkezett a hír, hogy az Anonymus csoport külföldön és idehaza is támadásba lendült a kormányzati szervek ellen, megbénítva a brit belügyminisztérium honlapját, itthon pedig feltörték a Nemzeti Rehabilitációs és Szociális Hivatal oldalát. Áprilisban érkezett hír olyan kártékony programról, amely a szállodák vendégeinek okozhattak problémákat adataik ellopásával. A rosszindulatú programot a készítők mindössze 280 dollárért árulták a trójai programot, amelyet úgy programoztak, hogy az a víruskeresőkön és a különféle biztonsági alkalmazásokon átjuttatható legyen.
A nyári hónapok sem teltek eseménytelenül az IT biztonság területén. Júniusban támadás érte a LinkedInt, amelynek következményeként valószínűleg több millió jelszó szivároghatott ki, és egy felhasználó pert is indított a szolgáltató ellen. Pár nappal később kapitulált a Last.fm zeneszolgáltató is, majd a glasgow-i bíróság egyik notebookjának veszett nyoma több mint 17 ezer vállalkozás és 20 ezer magánszemély adataival.
Több nemzetközi cég is felmérést készített adatbiztonsággal kapcsolatos témákban, megpróbálva felmérni a valós károkat, feltérképezni a várható hatásokat, trendeket, illetve igyekeztek tanácsokkal is szolgálni a hatékonyabb védekezés érdekében. Érdemes megemlíteni a Canon, a Core Security, a Check Point valamint a KPMG felméréseit, amelyek komoly problémákra mutattak rá az adatszivárgás területein.
A nyár elején megérkezett az első jelentősebb hír az FBI egyik nagy fogásáról. Az akcióban három földrészen, összesen 24 bűnözőt fogtak el, és a hatóságok állítása szerint több mint 200 millió dollárnyi további adatlopást akadályoztak meg ezzel. Kár, hogy arról nem szólt a fáma, mekkora kárt okoztak a bűnözők ténykedésük során, de valószínűleg óriási számokról beszélhetünk. Júliusban sem volt semmi jele annak, hogy a bűnözők szabadságra mentek volna, ugyanis először a Formspering közösségi oldalról szivárgott ki 28 millió kódolt jelszó, majd a Yahoo! Voice feltörésével szerezték meg 450 ezer felhasználó adatait. Ezek után érkezett a hír Kanada legsúlyosabb adatbiztonsági incidenséről, amelyben két eltűnt pendrive-on, több mint 2 millió választópolgár adatai vesztek el. Szinte egy időben érkezett a hír a németországi Gamigo játékszolgáltató feltöréséről, ahol 11 millió játékos adatait lopták el.
Augusztusban a távol keletről kaptunk hírt arról, hogy a Japán Pénzügyminisztériumnak, 2 évre volt szüksége hogy észrevegye és megállítsa az adatszivárgást, amelyben 123 volt számítógép volt megfertőzve egy trójai programmal, amely majdnem 2 évig zavartalanul működött. A Japánoknál maradva meg kell említeni, hogy a Toyota elbocsátott informatikusa bizalmas adatokat, üzleti titkokat lopott a cég amerikai leányvállalatától, amely azonnal pert indított a volt alkalmazott ellen. Még ebben a hónapban lépett akcióba az Anonymous hacktivista csoporthoz köthető Team GhostShell: száz weboldalra törtek be, ahonnan az ottani felhasználók adataival távoztak. A feltört oldalak között volt bankokhoz, kormányzati szervekhez és más, szenzitív adatokat kezelő szervek is. Ugyan csak érdekes hír volt a Dell biztonsági embereinek akciója, amelyben a cég vezetőjének lánya posztolt olyan dolgokat a Twitterre, amelyeket nem kellett volna, így a szakemberek egyszerűen törölték a felhasználót a közösségi oldalról, mielőtt még nagyobb bajt okozhatott volna.
Az őszi iskolakezdéssel egy időben érkezett a hír, hogy újra betörtek a Philipshez, felhasználói neveket, titkosított jelszavakat kiszivárogtatva. Kíváncsian várjuk, hány súlyos incidensre van szüksége ahhoz a cégnek, hogy végre komoly lépéseket tegyen adatai biztonságos kezelésének érdekében. A hónap egyik legnagyobb híre volt, hogy az FBI egyik ügynökének feltörték a laptopját, és megtalálták rajta, illetve ellopták 12 millió Apple felhasználó adatait. Kérdés, hogyan kerültek ezek az adatok egy ügynök laptopjára, és hogyan tudták a hackerek ezt ellopni az FBI-tól.
A szeptemberi ITBN konferencián tartott előadást a Compliance Data Systems Kft. az adatszivárgás elleni védelem hazai helyzetéről és bejelentette a témakörben indított saját online felmérését is, amely év végén zárult. A felmérésre azért volt szükség, mert az adatszivárgás elleni védelem témában eddig csak külföldi adatokon alapuló kutatások álltak rendelkezésre, amelyek nem ültethetőek át teljes egészében a hazai környezetre.
A kutatás kulcsmegállapításai szerint a válaszolók legnagyobb része bár ismeri az adatvédelmi technológiákat, azokat a gyakorlatban csak kis mértékben alkalmazzák, csak minden ötödik-tizedik cég használ merevlemez titkosítást, email titkosítást, portvédelmet vagy adatszivárgást megelőző szoftvert, harmaduk semmilyen védelemmel nem rendelkezik.
A bizalmas adatok felmérésével és osztályozásával is komoly gondok vannak, ezen kívül minden második cégnél használnak a dolgozók személyes tulajdonú eszközt a munkavégzéshez, amelyek védelme esetleges. A bekövetkezett incidensekről a cégek kétharmada nem értesül, a keletkezett károk nagyságát 80%-uk felbecsülni sem tudja.
Az év végi hajrá a Pepsi honlapjáról történt óriási adatlopással vette kezdetét, majd az egyik nagybankot érte hackertámadás, amelyet az Anonymus újabb akciójáról szóló hírek követtek. Az amerikai adóhivatalt is megtámadta egy hacker, és több millió bizalmas adatot sikerült ellopnia, az elkövetőt Amerikán kívül kereste az FBI és a titkosszolgálat.
Októberben érdekes hirdetésre bukkantak egy weboldalon, ahol 5 dollárért árulták 1,1 millió Facebook felhasználó valódi nevét, felhasználó nevét, és e-mail címét. Egy kíváncsi blogger kifizette az összeget majd megállapította, hogy a hirdető igazat beszélt és valós adatokat adott át ezért a csekély összegért. A Facebookra továbbra is ráját a rúd, ugyan is 1,5 millió fiókhoz lehetett hozzáférni bejelentkezés nélkül, miután a cég által kiküldött e-mail értesítőkben olyan linket helyzetek el, amire rákattintva automatikusan bejelentkeztet az oldal és az adott tartalomhoz visz. Természetesen a linkek kiszivárogtak, így a Facebook kénytelen volt leállítani a kényelmi szolgáltatást.
Novemberben igazi tarolást láthattunk az internetes bűnözés terén: újra akcióba lendült az Anonymus csoport, felfedezték az eddigi legnagyobb mobilos adatlopást Android operációs rendszeren, ezek után hamis biztonsági szoftver jelent meg a mobilplatformra. Több mint 220 millió dollárt loptak a Citibanktól Amerikában, komoly adatszivárgás történt az Adobe-nál, betörtek a Nemzetközi Atomenergia-ügynökséghez is és adatokat szivárogtattak ki, valamint csalók alapítottak egy IT céget Romániában, ami elvileg karbantartási munkákat végzett, de közben a bizalmas adatokat, komoly mennyiségű bankkártyaadatot loptak el.
Az ünnepek előtt érkezett hír az Acer honlapjáról ellopott 20 ezer felhasználói adatról, majd a Japán Űrkutatási Ügynökség (JAXA) erősítette meg, hogy bizalmas adatok szivárogtak ki informatikai rendszeréből. A Tumblr is elvérzett az internetes bűnözőkkel szemben, amikor több ezer felhasználó adatait tulajdonították el illetéktelenek, ezek után pedig egy újabb mobiltelefonos trójai program segítségével 36 millió eurót loptak el a bűnözők.
Visszatekintve a tavalyi esztendőre, elmondhatjuk, hogy nagyon mozgalmas időszakot tudhatunk magunk mögött az adatbiztonság terén. A támadások száma nem csökken, egyre több felhasználó adatai kerülnek illetéktelen kezekbe, illetve egyre nagyobb bevételre tesznek szert az internetes bűnözők az ellopott adatok által. A védelemmel foglalkozó vállalatoknak nem lehet más célja, mint továbbra is naprakész, egyre hatékonyabb védelemmel kell ellátniuk ügyfeleiket, és megtenni mindent annak érdekében, hogy adataikat biztonságban tudhassák, és ne lássák viszont neveiket valamelyik biztonsági incidensről szóló híradásban.
